Tendencias en Seguridad y Control en Aplicaciones Lucio Augusto Molina Focazzio Certified information Systems Auditor - CISA Certified Information Security Manager – CISM CobiT Accredited Trainer Consultor en Auditoría de Sistemas y Seguridad de la Información Agenda ge da Introd cción Introducción Riesgos en las Aplicaciones El SDLC y los beneficios de Integrar la Seguridad en el Ciclo Fases de la seguridad en el Ciclo de Desarrollo de Software Conclusiones Agenda ge da Riesgos en las en las Aplicaciones p Vulnerabilidades relacionadas con las Vulnerabilidades relacionadas con las aplicaciones 10 Mayores Riesngos para la Seguridad en las Aplicaciones Injection Cross‐Site Scripting (XSS) Broken Authentication and Session Management Insecure Direct Object References Cross‐ Suite Request Forgery (CSRF) Security Misconfiguration Insecure Cryptographic Stoprage Failure to Restrict URL Access Insufficient Transportt Layer Protection Unvalidated Redirects and Forwards Revisión del Diseño Requerimientos De seguridad g Requerimientos y casos de uso Diseño Análisis de Riesgos Revisión del Código Plan de Pruebas Pruebas a la Seguridad Códificación Pruebas de Penetración Pruebas Retroalimentación Agenda ge da El SDLC y los beneficios de El SDLC l b fi i d Integrar la Seguridad en el Ciclo g g Beneficios de Integrar de Integrar la Seguridad la Seguridad en el SDLC • Identificacion y mitigación y mitigación oportuna de de vulnerabilidades y malas configuraciones • Bajo costo en la implementacion de controles y mitigacion de vulnerabilidades • Identificacion de servicios de seguridad compartidos • Estrategias de reuso de reuso de herramientas de herramientas para reducir costos y programaciones • Mejoramiento j de la seguridad g mediante el uso de tecnicas y métodos probados 8 Confidential Beneficios de Integrar de Integrar la Seguridad la Seguridad en el SDLC • Decisiones informadas a traves a traves de una de una adecuada gestion de riesgos • Documentacion de la seguridad durante el desarrollo • Mejoramiento de la confianza de las organizacion y los usuarios para facilitar la adopcion y uso • Mejoramiento en la interoperabilidad en la interoperabilidad e integracion e integracion que de otra manera podría generar obstáculos mediante el aseguramiento de los sistemas a varios niveles i l 9 Confidential Agenda ge da FFases de la seguridad d l id d en el Ciclo l Ci l de Desarrollo de Software Fases del SDLC del SDLC • • • • • • • Inicio y estudio de Factibilidad Definicion de requerimientos Diseño Funcional Diseño técnico y construcción de la solución Verificación Implementación Mantenimiento y Seguimiento Fases del SDLC “con Seguridad” • • • • • FFase 1. Inicio 1 I i i Fase 2: Desarrollo / Adquisición Fase 3: Implementacion / Valoración Fase 4: Operación 4: Operación / Mantenimiento / Mantenimiento Fase 5: Disposición NIST SP 800-64 12 Confidential Integración de Controles dentro del g Software (CoBiT) Adquirir e Implementar Soluciones Identificar Soluciones Identificar Obj, de control control relevantes Adquirir y mantener el Sw de Aplicación Diseñar controles de Aplicacion Adquirir y Mantener la Infraestructura tecnológica Construir y configurar controles Establecer la Operación y el Uso Procurar Recursos de TI Documenta r controles y entrenar a y entrenar a los usuarios Gestionar cambios Instalar y Acreditar Soluciones y cambios Probar y Aprobar los controles Fase 1. Inicio 1. 2. 3. 4. Involucramiento de los dueños del negocio Documentar la Arquitectura Empresarial Indentificar y especificar las politicas y leyes aplicables Desarrollar los Objetivos de Confidencialidad, Integridad y Disponibilidad 5. Categorizacion de la Seguridad en los Sistemas de Información y en la Informacion y en la Informacion 6. Desarrollar especificaciones de Procurement 7 Análisis Preliminar de Riesgos 7. de Riesgos 14 Confidential Phase 1: Initiation Phase 1: Initiation Relating security considerations 15 Confidential Fase 2. Adquisición 2 Adquisición / Desarrollo / Desarrollo 1. Análisis de Riesgos 2 Seleccion de 2. de linea linea base de controles base de controles de seguridad de seguridad 3. Refinamiento de las linea base de los controles de seguridad 4. Diseño de los Controles de Seguridad 5 Análisis de Costos 5. de Costos y reporte y reporte 6. Planeación de la seguridad 7 Pruebas 7. P b unitarias i i y evaluacion l i de la integración d l i ió de d la seguridad 16 Confidential Phase 2: Acquisition / Development q / p Relating security considerations 17 Confidential Fase 3. Implementación 3 Implementación / Valoración / Valoración 1. 2 2. 3. 4 4. Inspección y aceptacion del Producto /componentes Ontegracion de los controles de los controles de seguridad de seguridad Guia Administrativa / Usuario P Prureba b a la seguridad l id d del Sistema d l Si t y plan de l d evaluacion 5 Certificación del Sistema 5. del Sistema 6. Determinación del Riesgo residual 7 Acreditación 7. A di ió de la Seguridad d l S id d 18 Confidential Phase 3: Implementation / Acquisition p / q Relating security considerations 19 Confidential Fase 4: Operación 4: Operación / Mantenimiento / Mantenimiento 1. Gestión de la Configuración, control de cambios y auditoría 2. Monitoreo Continuo 3. Recertificación 4. Reacreditación 5. Gestión de Incidentes 6. Auditoría 7. Detección y Monitoreo de Intrusos 8. Prueba del Plan de Contingencias (incluyendo plan de 20 Confidential operacion y continuidad) Phase 4: Operations / Maintenance p / Relating security considerations 21 Confidential Fase 5: Disposición 5: Disposición 1. Planeación l ó de la Transicion d l ( (migracion d l del nuevo sistema) 2. Disposición de Componentes 3. Saneamiento de medios 4. Archivo de Informacion asegurando la preservacion de la informacion de la informacion 22 Confidential Phase 5: Sunset (Disposition) ( p ) Relating security considerations 23 Confidential Agenda ge da Conclusiones C l i Conclusiones • El seguimiento al Ciclo de Vida del desarrollo g de Sistemas incrementa la probabilidad de p y éxito del proyecto • Incluir la seguridad durante el SDLC trae economías importantes economías importantes • Para incluir la seguridad en la aplicación se combinan estándares y mejores prácticas combinan estándares y mejores prácticas como ISO 27001, CoBiT, ITIL, NIST y BS25999 Preguntas???? egu tas???? lucio_molina@etb.net.co GRACIAS